Annonce

Réduire
Aucune annonce.

Installer et configurer ClamAV sur CentOS 7

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Tutoriel Installer et configurer ClamAV sur CentOS 7


    Aujourd'hui je vous propose un nouveau tutoriel pour vous apprendre à mettre en place ClamAV ( https://www.clamav.net/ ) sur CentOS 7 ( https://www.centos.org/ ).

    Qu'est-ce que ClamAV ?

    ClamAV est un antivirus compatible Linux et que vous pouvez donc installer sur vos serveurs. Si vous pensez que les virus n'existent pas sous Linux je vous invite à lire cet article : https://fr.wikipedia.org/wiki/Liste_des_malwares_Linux
    Le projet est maintenu par Cisco et est disponible sous licence GPL.

    Installer ClamAV sur CentOS

    ClamAV n'est pas disponible par défaut et il vous faudra disposer d'EPEL (Extra Packages for Enterprise Linux). Pour cela rien de plus simple :
    Code:
    yum install epel-release
    Nous pouvons maintenant installer ClamAV...
    Code:
    yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd
    Configurer SELinux pour ClamAV

    Si vous utilisez SELinux sur votre machine, vous allez devoir mettre à jour une règle afin que ClamAV puisse fonctionner correctement. Pour cela utilisez la commande suivante :
    Code:
    setsebool -P antivirus_can_scan_system 1
    Configurer du daemon ClamAV

    Nous allons maintenant passer à la configuration du daemon. Pour cela lancez les commandes suivantes :
    Code:
    cp /usr/share/clamav/template/clamd.conf /etc/clamd.d/clamd.conf
    sed -i ‘/^Example/d’ /etc/clamd.d/clamd.conf
    Ouvrez maintenant /etc/clamd.d/clamd.conf et modifiez les deux options suivantes :
    Code:
    User clamscan
    LocalSocket /var/run/clamd.<SERVICE>/clamd.sock
    Configurer freshclam

    Nous allons maintenant configurer freshclam (qui va permettre de mettre à jour automatiquement la base de donnée de l'antivirus) :
    Code:
    cp /etc/freshclam.conf /etc/freshclam.conf.bak
    sed -i ‘/^Example/d’ /etc/freshclam.conf
    Ouvrez ensuite /etc/freshclam.conf et ajoutez à la fin :
    Code:
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/sigwhitelist.ign2
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/sanesecurity.ftm
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/junk.ndb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/jurlbl.ndb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/phish.ndb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/rogue.hdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/scam.ndb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/spamimg.hdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/spamattach.hdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/blurl.ndb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_generic.cdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_filename.cdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/malwarehash.hsb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/malware.expert.hdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/hackingteam.hsb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/winnow_malware.hdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/winnow_malware_links.ndb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/winnow_extended_malware.hdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/winnow.attachments.hdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/winnow_bad_cw.hdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/bofhland_cracked_URL.ndb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/bofhland_malware_URL.ndb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/bofhland_phishing_URL.ndb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/bofhland_malware_attach.hdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/crdfam.clamav.hdb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/porcupine.ndb
    DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/porcupine.hsb
    Cela vous permet d'ajouter les signatures additionnelles à Freshclam afin d'être mieux protégé...
    Exécutez ensuite la commande suivante :
    Code:
    freshclam
    Service pour freshclam
    Nous allons ensuite créer un service pour freshclam. Créez le fichier : /usr/lib/systemd/system/clam-freshclam.service
    Code:
    # Run the freshclam as daemon
    [Unit]
    Description = freshclam scanner
    After = network.target
    [Service]
    Type = forking
    ExecStart = /usr/bin/freshclam -d -c 4
    Restart = on-failure
    PrivateTmp = true
    [Install]
    WantedBy=multi-user.target
    Activons et lançon notre nouveau service :
    Code:
    systemctl enable clam-freshclam.service
    systemctl start clam-freshclam.service
    Scanner la machine

    Et voilà nous avons tout installé ! Nous pouvons maintenant utiliser la commande suivante pour scanner la machine :
    Code:
    clamscan -r /folder/
    Que faire en cas de faux positifs ?

    Dans un premier temps, il faut vérifier qu'il s'agit bien d'un faux positif
    Utilisez donc un service come VirusTotal pour checker le fichier. Une fois que vous êtes sur de vous, utilisez la commande suivante:
    Code:
    sigtool --md5 /chemin/vers/fauxpositif >> /var/lib/clamav/local.fp
    Relancez ensuite votre clamscan, le souci devrait être réglé !


    Merci d'avoir lu ce tutoriel et n'hésitez pas à poser vos questions sur le forum

    Sources :
    https://www.clamav.net/documents/how...amav-signature
    https://linux-audit.com/install-clam...ing-freshclam/
    https://forum.proxmox.com/threads/cl...natures.43397/
    https://www.clamav.net/documents/



    ++++++++++[>+++++++>++++++++++>+++>+<<<<-]>++.>+.+++++++..+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.>.
Chargement...
X